*
 
AfterDawn: IT-alan uutiset

Applen jättämä aukko mahdollistaa iCloud-hyökkäykset

Kirjoittaja Manu Pitkänen (Google+) @ 2.1.2015 19:47 Kommentteja (3)

Onko Apple-salasanasi tällä listalla? Vaihda se välittömästi Nimimerkin "Pr0x13" taakse piiloutunut hakkeri tai ryhmä hakkereita on julkaissut GitHubissa iDictiksi nimetyn työkalun, jolla väitetään pystyvän murtautumaan iCloud-tileille.
Työkalun kerrotaan hyödyntävän niin sanottua brute force -hyökkäysmenetelmää, jossa tilille yritetään kirjautua erilaisilla salasanoilla niin kauan kunnes oikea tunnus-salasana-pari löytyy. Apple on rajoittanut salasanojen syöttökertojen määrää, mutta julkaistun työkalu hyödyntää ohjelmointivirhettä, mikä mahdollistaa salasanojen kokeilun useita kertoja.

Työkalu kokeilee yhteensä noin 500 eri salasanaa. Työkalulla ei pysty murtautumaan tilille, mikäli tunnukseen sidottua salasanaa ei löydy listalta. Jos salasana on taas listalla, kannattaa se vaihtaa mahdollisimman pian. Lisäksi hyökkäyksen kohteen Apple ID -tunnus / sähköpostiosoite pitää olla hyökkääjän tiedossa.

Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana. Työkalu julkaistiin GitHubissa, jotta Apple paikkaisi mahdollisimman nopeasti brute force -hyökkäykset mahdollistavan aukon.

Viime syksynä iCloud nousi otsikoihin kun useiden julkkisten iCloudiin tallentamat nakukuvat vuotivat julkisuuteen.

Edellinen Seuraava  

3 kommenttia

13.1.2015 15:22

"Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana."

Tuolla listalla oli jopa 12-16 merkkiä pitkiä salasanoja, vaikeasti arvattavia.
Ei taida olla nykyään hyötyä salasanasta, koska mikä tahansa salasana voidaan näemmä murtaa.


-Reko

23.1.2015 16:30

Lainaus, alkuperäisen viestin kirjoitti RekookeR:
"Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana."

Tuolla listalla oli jopa 12-16 merkkiä pitkiä salasanoja, vaikeasti arvattavia.
Ei taida olla nykyään hyötyä salasanasta, koska mikä tahansa salasana voidaan näemmä murtaa.
tottakai mikä tahansa salana voidaan murtaa ja on aina voitu, mutta se kuinka kauan siinä menee on asia erikseen.

i7-4770k@4,4GHZ/R9 290 OC+accelero xtreme III/8gb ddr3 1600mhz/Gigabyte z87x-d3h/Phanteks PH-TC14PE/5x fractal 140mm low speed/Fractal R4/Seasonic platinum 760w/samsung 830 256gb ssd/500gb hdd/Roccat kone xtd ja roccat isku.

33.1.2015 19:08

Lainaus, alkuperäisen viestin kirjoitti RekookeR:
"Applen laitteiden käyttäjien ei kannata olla erityisen huolissaan työkalusta, varsinkin jos käytössä on vahva ja vaikeasti arvattava salasana."

Tuolla listalla oli jopa 12-16 merkkiä pitkiä salasanoja, vaikeasti arvattavia.
Ei taida olla nykyään hyötyä salasanasta, koska mikä tahansa salasana voidaan näemmä murtaa.


Lainaus:
Työkalu kokeilee yhteensä noin 500 eri salasanaa. Työkalulla ei pysty murtautumaan tilille, mikäli tunnukseen sidottua salasanaa ei löydy listalta.
Niin eli voisin tarkentaa, että ohjelma suorittaa dictionary attackin, eli sanakirjahyökkäyksen...

Pelkkä "Bruteforce" hyökkäys on ihan himpun verran eri asia, kun yritetään murtaa käyttäen koko avainavaruutta (keyspace), algoritmiin.


Tuo valmis 500 nimen lst on pieni, kun niitä on 23miljoonan valmiin sanan listojakin olemassa, sanon että tolla ei vielä paljoa murreta, ei ainakaan suomalaisia sanoja. Kun kyseessä on siis se dictionary attack.

En nyt nostaisi hälytysvalmiutta tosta listasta ainakaan...apple korjatkoon aukkonsa, Toki jos se salis tuolta löytyy se on jo valmiiksi huono. Tuolla ei ollut AINUTTAKAAN oikeasti vaikeaa joukossa. piste.

Jos salasana on "password111" tai "princess222" tai joku helppo variaatio niin ei ihmekään jos tili lähtee alta.

Me ollaan hyvässä asemassa siinä mielessä että meillä on ääkköset. Suosittelen lämpimästi käyttämään niitä salasanassa jos mahdollista koska se pysäyttää ulkoomalaisen väsäämän sanakirjan hyvin. Ellei jopa täysin.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 3.1.2015 @ 19:36

- Always use protection. Safe browsing!

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Onko maailman kuumin startup pelkkä kupla? Epäilyt Magic Leapiä kohtaan kasvavat Onko maailman kuumin startup pelkkä kupla? Epäilyt Magic Leapiä kohtaan kasvavat (9.12.2016 08:40)
Floridalaiseen Magic Leap -kasvuyrityksen kehittämiin mixed reality -laseihin on ladattu kovia odotuksia – kenties liiankin suuria. The Informationin paljastamien tietojen mukaan Magic Leap ....
Ubisoftin synttärikampanja jatkuu, nyt ilmaiseksi Assassin's Creed 3 Ubisoftin synttärikampanja jatkuu, nyt ilmaiseksi Assassin's Creed 3 (8.12.2016 19:36)
Ubisoft viettää 30. juhlavuottaan ja on juhlistanut sitä ilmaispelien avulla. Kaikkiaan seitsemän peliä on lisätty tarjolle ilmaisina latauksina yhtiön omasta Uplay-alustasta vuoden saatossa. ....
Voit joutua pettymään – iPhoneen ei olekaan tulossa suurta uudistusta Voit joutua pettymään – iPhoneen ei olekaan tulossa suurta uudistusta (8.12.2016 18:23)
Spekulointi seuraavan sukupolven iPhonen sisältämistä uusista ominaisuuksista tuntuu alkavan vuosi vuodelta aikaisemmin. Varhaisessa vaiheessa alkaneiden huhujen huono puoli on siinä, että vaikka ....
Samsung kaappaa Applen idean? Galaxy S8:aan ei tule kotinäppäintä Samsung kaappaa Applen idean? Galaxy S8:aan ei tule kotinäppäintä (8.12.2016 17:41)
Ensi vuoden alussa julkaistaviin Galaxy S8 -sarjan älypuhelimiin on tulossa koko etualan kattava näyttö, kertoo Bloomberg. Applenkin on huhuttu kehittävän vastaavaa älypuhelinta ensi vuodeksi. ....
1 kommentti
Tulevaisuus tulee: BBC testaa Ultra HD -videon jakelua netissä Tulevaisuus tulee: BBC testaa Ultra HD -videon jakelua netissä (8.12.2016 15:20)
YouTube ja Netflix ovat olleet edelläkävijöitä Ultra HD -sisältöjen verkkojakelun testauksessa, mutta hiljalleen myös muut palveluntarjoajat ovat aloittaneet omat testinsä. Tuoreimpana esimerkkinä ....

Uutisarkisto